Зашифрованы ли данные POST через соединение SSL?

13

Я настроил свой веб-сервер на использование SSL (я использую WAMP для своего сценария подготовки, прежде чем перенести его на общедоступные серверы). Назначение сайта успешно выполнено, и я могу использовать сайт с удаленных компьютеров по протоколу HTTPS.

Один из моих пользователей (тестировщиков) выразил озабоченность по поводу данных POST. В своем тестовом сценарии он находится на месте у одного из наших потенциальных клиентов, получая доступ к сайту за их ОЧЕНЬ придирчивым корпоративным брандмауэром (мы уже выяснили, как этот сайт применяется к их AUP, и мы чисты). Он управляет сайтом в FireFox, используя Firebug для мониторинга POST и GET данных. Вопрос здесь:

В его окне Firebug сообщение POST и ответ от XMLHTTPRequest возвращаются в виде простого текста. Это потому, что он был тем, кто инициировал безопасное соединение? Будут ли данные POST / Response отображаться для сетевых администраторов или журналов?

Обратите внимание, что цель здесь не в том, чтобы обмануть администраторов или обойти политики; Это приложение предназначено для людей на местах в разных местах, которые должны передавать конфиденциальные данные. Использование будет координироваться с каждой сетевой инфраструктурой, с которой мы сталкиваемся.

Хонус Вагнер
источник
даже URL и строка запроса зашифрованы
Нил Макгиган
В качестве простого теста и правильного использования инструментов сниффинга используйте tshark / WireShark для фильтрации по http.request.uri, и вы увидите, что при работе с https отображать нечего. С другой стороны, отправьте тот же запрос по http, и вы увидите все.
Мазияр

Ответы:

20

Да, данные POST должны быть зашифрованы. Все в запросе HTTP должно быть зашифровано в разговоре SSL. Firebug получает информацию после того, как данные SSL были расшифрованы браузером. Если вы хотите убедиться, используйте что-то вроде Fiddler или WebScarab в качестве промежуточного прокси-сервера, хотя вам, возможно, придется играть в игры, чтобы заставить их хорошо играть с SSL. Вот страница о том, как расшифровать трафик HTTPS с помощью Fiddler.

squillman
источник
3
Если вы вообще сомневаетесь в шифровании, включите Wireshark на клиенте и прослушайте трафик.
Эван Андерсон
Я проверил Fiddler и сравнил POSTS и GETS между HTTPS и HTTP-данными и подтвердил, что POSTS и GETS безопасны. Благодарность!
Хонус Вагнер
@Evan Что я должен искать на Wireshark?
Хонус Вагнер
3
@Honus: Вы ищете мусор :). Если данные не зашифрованы, вы сможете увидеть их в Wireshark. Если он зашифрован - вы увидите зашифрованные (не читаемые) данные.
Солнечный
1
@Honus: Wireshark - это анализатор пакетов, поэтому он может / покажет вам все пакеты, поступающие по сети. У вас есть возможность видеть весь сетевой трафик независимо от протоколов уровня приложения. Существуют фильтры (в том числе один для HTTP), которые позволяют сузить кругозор, чтобы легче было видеть то, что вы ищете.
squillman